实验一Sniffer Pro的使用
【实验目的】
1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。
2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。
【实验环境】
Windows XP、2003 Server等系统,Sniffer Pro软件。
【实验内容】
第一部分:学习sniffer
1.首先,打开Sniffer Pro程序,如果系统要求的话,还要选择一个适配器(使用哪个网卡)。
打开了程序后,会看到图中的屏幕。
图1 Sniffer Pro程序主界面
2.打开Sniffer Pro程序后,选择Capture(捕获)-Start(开始),或者使用F10键,或者是工具栏上的开始箭头。
因为捕获过程需要几分钟才能完成,这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口,这样后面就可以节省一点时间。
3.下面,在Sniffer Pro程序中,会看到高级系统(Expert)被自动调用,如图2所示。
打开这个窗口后,不会看到任何东西,除非停止捕获过程才可以查看内容。
让捕获过程持续运行一段时间,这时可以自定义高级系统,这样就能实时地看到不断出现的问题。
图2 开始捕获过程时调用高级系统
4.浏览图2中的屏幕。
高级窗口这时会滚动到窗口左边,只能看到工具栏,而没有任何详细资料。
如果要查看详细资料,就要找到高级窗口对话框左上角的箭头,这个箭头在“层次”这个词的右边。
单击这个箭头后,会显示出高级功能的另一部分窗口,如图3所示。
5.你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程,所以我们在下面要对如何使用高级功能进行分析。
如果要进一步自定义我们的Sniffe Pro高级功能,就要在一个视图中显示所有定义对象的详细资料。
如果再看一次图3,你会发现在高级对话框的最右边有两个卷标:一个是“总结”卷标,另一个是“对象”卷标。
在图4中,你会看到这两个卷标都消失了,被两个窗口取代。
如果要改变视图,只需要将鼠标停在图4中圈起的位置,这时箭头的形状会改变,然后可以将这一栏上移,就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。
图3 在高级系统中查看更多的细节
图4浏览高级系统内的对象卷标
6.已经完全了解如何自定义Sniffer Pro高级窗口后,使浏览更容易。
现在,我们可以停止捕获过程。
再次进入Capture(捕获)菜单,然后选择Stop(停止)或者按下F10键。
还可以使用工具栏,选择黑方框图标来执行同样的功能。
7.停止了捕获过程后,屏幕上不会有任何反应。
这时因为没有要求Sniffer Pro显示捕获的内容。
还可以按F9键来执行“停止并显示”的功能,或者可以进入Capture(捕获)菜单,选择“停止并显示”。
也可以使用工具栏图标来执行同样的功能,这个图标的样子就像带望远镜的黑色的方盒。
因为我们先停止了捕获过程,所以也可以在停止后选择Capture(捕获)菜单中的“显示”,按下F5键,或者只使用工具栏中的“望远镜”。
在这里,我们使用的是第一种方法,选择了“显示”后,Sniffer Pro高级窗口会迅速地一直最小化,然后就会再次出现高级对话框,如图5所示。
图5 选择显示后查看高级对话框
8.现在查看对话框(停止捕获过程后),会看到几个非常重要的变化。
第一个变化是Sniffer Pro高级窗口中不再增加内容了,可以说是因为停止了捕获过程,所以不再有对象增加了。
第二个变化是对话框的标题栏。
起初只简单地显示“Expert”(高级)。
现在显示的是捕获文件的名字,以及Sniffer Pro在捕获过程中观察到的帧的数目。
9.另一个主要变化是对话框最下角增加了一组窗口卷标,包括高级(当前查看的视图)等。
10.选择了解码卷标(Decode)时,屏幕显示如图6,会看到Sniffer Pro缓冲器中的所有实际“数据”。
图6 查看解码卷标
1.2.详细资料窗格
了解了帧的内容,现在让我们来看看从数据的表格视图中可以得到哪些信息。
利用sniffer数据捕获功能捕获数据并进行数据桢解析分析,例如:
图8 专家分析系统
(1)如上图所示,你会看到IP头部的各部分内容。
(根据自己的Sniffer专家分析系统的分析内容查看以下段的值:)
✓版本
✓IHL
✓ToS ToS位可以提供服务质量(QoS)信息(Sniffer Pro会提供一些必要的信息)
✓总长度
✓ID
✓标记
✓分段差距
✓TTL
✓协议
✓校验和
✓SA
✓DA
✓选项与Padding 这里没有任何选项。
在文件头中不一定必须有选项这部分内容。
✓数据
(2) TCP头部可以分成几个部分。
现在可以查看TCP头部的所有详细内容。
在TCP中,需要使用端口序号来识别并建立与上层协议之间的连接。
这个头部会像IP头部一样被分解来查看各部分内容,现在我们来了其中各项的详细内容:
✓来源端口
✓目的端口
✓序号序号(和下一个期望序号)用来进行顺序控制。
✓确认号因为已经设定了ACK字节(在下面几行中,确认字节设定为1),确认号代表。
✓差距数据差设定为20个字节,可以说明。
✓标记标记为10。
✓U 紧急指针(URG)设定为?
✓ A 确认字节(ACK)设定为?
✓P 入栈程序(PSH)设定为?
✓R 重新连接(RST)设定为?
✓S 同步顺序号(SYN)设定为?
✓ F 释放连接(FIN)设定为?
✓窗口窗口为?
✓校验和校验和为?
✓选项+Padding
✓数据?
这些信息会使我们更有兴趣深入了解这些内容,我们甚至还没有得到全部的负载内容。
Sniffer Pro是一种非常有价值的工具,可以用它来深入挖掘数据的详细资料,就像我们正在做的一样。
我们还只是在查看一个数据帧而已!即使你不能全部理解这些内容(关于协议代码的信息总量非常多),至少可以进行捕获过程,然后研究一些网络或者RFC中的信息,这样会发现正在解析的协议中的更多内容。
直到现在,我们还只是在告诉你如何使用Sniffer Pro分析窗格(总结、详细资料和Hex)来读取捕获的数据。
(3) Hex窗格
Hex窗格显示的内容最直观,同时也难以理解。
Hex窗格看上去就像是十六进制代码的信息集合。
它的确如此,但是,在这里我们会提供一种更好的方法来理解这个窗格中的内容,这样就可以了解它们,并进行分析。
图9 在Hex窗格中查看捕获的文件
在默认的情况下,Hex窗格会以ASCII格式显示数据。
如果想的话,也可以把格式改变为EBCDIC(IBM)代码,只需要在Hex窗格内单击鼠标右键,将选项改为EBCDIC即可。
现在已经进行了一个捕获过程,得到了一个帧,并在Sniffer Pro解码栏中用总结、详细资料和Hex窗格对这个帧进行了分析。
第二部分:使用sniffer
1.利用sniffer捕获用户名和密码
按照上面学习的内容,登录学校的ftp服务器,捕获登陆ftp的账号和密码。
2.使用ping命令抓取数据包,分析该数据包的IP协议首部的主要字段的内容和含义。
3.通过一次完整的FTP会话,抓取到一次完整的TCP连接的数据。
通过对这些数据的TCP协议首部进行分析,从而深入理解一次TCP连接中三次“握手”建立连接和和“四次”挥手释放连接的详细过程,以及在这些过程中一些典型字段的值的变化。
4.ping命令是向目标主机发送ICMP请求数据包,当目标主机给与ICMP echo类型数据包回应时就可以试探出本机和目标主机之间连通性。
使用ping命令并抓取目标主机送回的ICMP echo消息,分析ICMP数据报中的主要字段内容及其作用。